Sobre como inscrever contas existentes - AWS Control Tower
O que acontece durante a inscrição da contaInscrever contas existentes em VPCsInscrever contas com recursos do AWS Config

Sobre como inscrever contas existentes

É possível estender a governança do AWS Control Tower para uma Conta da AWS existente individual quando você a inscreve em uma unidade organizacional (UO) já administrada pelo AWS Control Tower. Existem contas elegíveis em UOs não registradas que fazem parte da mesma organização do AWS Organizations que a UO do AWS Control Tower.

Existem vários métodos para inscrever contas no AWS Control Tower. As informações nesta página se aplicam a todos os métodos de inscrição.

nota

Você não pode inscrever uma conta da AWS existente para servir como sua conta de auditoria ou arquivamento de logs, exceto durante a configuração inicial da zona de pouso.

O que acontece durante a inscrição da conta

Durante o processo de inscrição, o AWS Control Tower executa estas ações:

  • Aplicar linhas de base à conta, que inclui a implantação destes conjuntos de pilhas:

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    É uma boa ideia revisar os modelos desses conjuntos de pilhas e verificar se eles não entram em conflito com suas políticas existentes.

  • Identifica a conta por meio do AWS IAM Identity Center ou do AWS Organizations.

  • Coloca a conta na UO especificada. Certifique-se de aplicar todas as SCPs aplicadas na UO atual, para que sua postura de segurança permaneça consistente.

  • Aplica controles obrigatórios à conta por meio de SCPs que se aplicam à UO selecionada como um todo.

  • Habilita o AWS Config e o configura para registrar todos os recursos na conta.

  • Adiciona as regras do AWS Config que se aplicam aos controles de detecção do AWS Control Tower à conta.

Contas e trilhas do CloudTrail no nível da organização

Para as versões 3.1 e posteriores da zona de pouso, se você selecionou a integração opcional do AWS CloudTrail nas configurações da zona de pouso:

  • Todas as contas de membro em uma UO são administradas pela trilha do AWS CloudTrail da UO, inscritas ou não.

  • Quando você inscreve uma conta no AWS Control Tower, ela é administrada pela trilha do AWS CloudTrail da nova organização. Se você já tiver uma implantação de uma trilha do CloudTrail, poderá ver cobranças duplicadas, a menos que exclua a trilha existente da conta antes de inscrevê-la no AWS Control Tower.

  • Se você mover uma conta para uma UO registrada, por exemplo, por meio do console ou APIs do AWS Organizations, talvez queira remover todas as trilhas restantes no nível da conta. Se você já tiver uma implantação de uma trilha do CloudTrail, incorrerá em cobranças duplicadas do CloudTrail.

Se você atualizar a zona de pouso e optar por não receber trilhas no nível da organização, ou se a zona de pouso for anterior à versão 3.0, as trilhas do CloudTrail no nível organização não se aplicarão às contas.

Inscrever contas existentes em VPCs

O AWS Control Tower lida com as VPCs de forma diferente quando você provisiona uma nova conta no Account Factory do que quando você inscreve uma conta existente.

  • Quando você cria uma conta, o AWS Control Tower remove automaticamente a VPC padrão da AWS e cria uma VPC para essa conta.

  • Quando você registra uma conta existente, o AWS Control Tower não cria uma VPC para essa conta.

  • Quando você inscreve uma conta existente, o AWS Control Tower não remove nenhuma VPC existente nem VPC padrão da AWS associada à conta.

dica

É possível alterar o comportamento padrão de novas contas configurando o Account Factory, para que uma VPC não seja configurada por padrão para contas na organização no AWS Control Tower. Para obter mais informações, consulte Criar uma conta no AWS Control Tower sem uma VPC.

Inscrever contas com recursos do AWS Config

A conta a ser inscrita não deve ter recursos do AWS Config existentes. Consulte Inscrever contas que tenham recursos do AWS Config existentes.

Veja a seguir alguns exemplos de comandos da CLI do que podem ser usados para determinar o status dos recursos do AWS Config da conta existente, como o gravador de configuração e do canal de entrega.

Comandos de exibição:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

A resposta normal é algo como "name": "default"

Comandos de exclusão:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

Exemplo de adição da função AWSControlTowerExecution

O modelo YAML a seguir pode ajudar a criar o perfil necessário em uma conta, para que ela possa ser inscrita programaticamente.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess